本书结合中国国情,引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务。本书在介绍基本审计知识的基础上,重点阐述信息系统审计理论与实务,以及信息安全审计的相关内容。 本书是为四类读者而写的:一类是管理人士,本书阐述了信息化的整体概念,描述了管理层与咨询和技术服务提供商沟通的共同语言,以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士,本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问,他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员,由于信息技术的国际性,本书同样会对这类读者的工作与学习有较大帮助。
信息系统审计是做什么的?它做审计吗?它与国家审计机关、注册会计师从事的审计有什么关系?都是有争议的事情。信息系统审计的全称应当是信息系统审计与控制(Information System Audit and Control ),其协会会员称之为注册信息系统审计师(CISA ,Certified Information System Auditor),确实用了“Audit”、“ Auditor”两个词,但是它所从事的工作,与目前国人所理解、所熟悉知的、国家法律规定的审计,在内容上有相当大的差异。
审计署曾给审计下过一个简明定义:“审计是独立检查会计账目,监督财政财务收支真实、合法、效益的行为。”《注册会计师法》关于会计事务所从事审计业务的内容确定为两条:审查企业会计报表、验证企业资本。按照这些说法,审计的工作对象都是与记载财政财务收支及其相关经济活动的载体——账目有关系的。
可是信息系统审计的工作对象就要宽泛得多了。对于信息系统审计中使用的“Audit”一词,国内有关权威单位曾经意译为“审记”。例如:科学技术部、财政部、国家税务总局2000年《中国高新技术新产品目录》应用软件部分中,就列入了“审记软件”,并给予了界定条件描述:“对计算机上的通信和操作的内容进行采集、分析、追踪、审查,提出警告信息,并给予日志性记载。”虽然这个“审记”这个词汇没有被公众所接受,但它对“审记”概念的描述是准确的,“审记”的对象进一步扩大为整个信息系统时也是适用的。
即使国家审计机关、会计事务所的工作对象仍然局限在查账上,由于会计电算化的普及、ERP的应用,信息系统审计也有了用武之地,因为账不再仅仅是纸质的。信息化条件下,审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对,而没有能力对处理财政财务业务的信息系统进行检查,很可能形成信息化条件下的“假账真查”。于是审计和“审记”就有了一个交集:当信息系统中处理的是财政财务信息时,“审记”的内容和方法可以服务于审计。
近五年来,审计机关在对计算机管理的财政财务电子数据进行审计的时候,已经发现了利用会计软件、管理软件作弊的案例,由此开展了对计算机信息系统的审计。这种审计属于很初级阶段的,最显著的特征一是仍然围绕财政财务收支审计,二是大多数情况下是由于在电子数据的审核中发现了问题,株连到信息系统,“拔出罗卜想起了泥”,进一步“带出泥”。国家对审计机关探索信息系统审计并取得显著成效和给予了充分肯定。2001年国务院办公厅下发的《关于利用计算机信息系统开展审计工作有关问题的通知》,明确规定审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统;被审计单位应当按照审计机关的要求,提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料;被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口;审计机关发现被审计单位的计算机信息系统不符合法律、法规和政府有关主管部门的规定、标准的,可以责令限期改正或者更换;审计机关在审计过程中发现开发、故意使用有舞弊功能的计算机信息系统的,要依法追究有关单位和人员的责任;审计机关对被审计单位电子数据真实性产生疑问时,可以提出对计算机信息系统进行测试的方案,监督被审计单位操作人员按照方案的要求进行测试。
前不久,审计署制定了新的五年规划,其中一个非常重大的变化就是提出五年内逐步做到财务收支审计项目和效益审计项目各占一半。这是中国国家审计工作重点的一个里程碑式的转变。中国审计机关从此也可能开始逐渐关注信息系统整体的安全、风险、管理、控制,不管它与财政财务收支是否有直接的关系。
审计工作不局限于财政财务收支在国外有充足的先例。911之前,美国审计署检查了全国30多个机场,对机场的安检设施和制度提出了警告;还乔装打份,试探美国国防部的保卫工作,结果连过三道门岗如入无人之境,审计报告引起轩然大波。英国审计署对情报部门的笔记本计算机保管使用情况进行审计,查出几十台可能装有国家机密信息的笔记本计算机下落不明。澳大利亚审计署就“为了有效保卫澳大利亚,应当发展空军还是应当发展坦克”发表过审计报告。以色列审计署推行的政策审计,50%以上的项目与账目无关。内部审计师具有冲破财政财务收范围的内在动力,1999年,国际内部审计师协会给内部审计下了这样的定义:内部审计是旨在获取附加价值,改善组织业务而设计的具有独立性和客观性的保证和咨询活动。它通过提供系统的严格的方法来评价和提高风险管理、控制以及治理程序的有效性,借以协助组织实现其目的。受安然事件和安达信舞弊丑闻的影响,注册会计师从事管理咨询活动势头受挫,人们可以相信利益驱动必然会使注册会计师以种种合法外衣涉猎咨询服务。而信息系统的审计,之所以成为国外国家审计、内部审计、社会审计各方积极研究、探索、参与的新领域,无论从哪个角度讲都是道理充分的。
在审计和“审记”关系处理上,孙强在《信息系统审计》一书中采取了相互融合的办法,使二者得到了较好的统一。首先他对审计的定义把检查的范围确定为“可计量的信息证据”,既跳出了“会计账目”,又轻轻地将“会计账入”收入囊中。其次,审计判断标准确定为“与既定标准的符合程度”,同样既包括“真实、合法、效益”,而又不限于此。基于融合的思路,书的前半部分讲了审计,后半部分讲了“审记”。在书的前言中,孙强讲《信息系统审计》的读者群有四类人——管理人士、IT人士、审计人员、有志于成为信息系统审计师的人士。那么《信息系统审计》的前半部分主要是给除审计人员以外的三类人看的,使他们学习用审计的思维看待信息系统。《信息系统审计》的后半部分是重点,也是此“审记”区别于彼审计的核心所在,所讲所述,读有所值,对于各类读者都应当说是开卷有益。
目前,关于信息系统审计的书不多,尚属于“一阵新风吹过来”的阶段。作为在审计信息化方面负有一定责任的国家审计工作人员,我为这本书的出版感到高兴,毕竟大家都在关注信息系统的审计,这对于信息系统的审计是基础,是希望所在。
审计署信息化建设领导小组成员
审计署计算机技术中心主任 王智玉
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved